ハイブリッド Azure Active Directory 参加済みダウンレベル デバイスのトラブルシューティングTroubleshooting hybrid Azure Active Directory joined down-level devices

この記事は、次のデバイスにのみ適用されます。This article is applicable only to the following devices:

  • Windows 7Windows 7
  • Windows 8.1Windows 8.1
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2

Windows 10 または Windows Server 2016 については、「Windows 10 と Windows Server 2016 のハイブリッド Azure Active Directory 参加済みデバイスのトラブルシューティング」を参照してください。For Windows 10 or Windows Server 2016, see Troubleshooting hybrid Azure Active Directory joined Windows 10 and Windows Server 2016 devices.

この記事は、ハイブリッド Azure Active Directory 参加済みデバイスの構成が済んでいて、次のシナリオに対応していることが前提となります。This article assumes that you have configured hybrid Azure Active Directory joined devices to support the following scenarios:

  • デバイス ベースの条件付きアクセスDevice-based conditional access

この記事では、考えられる問題の解決方法について、トラブルシューティングのガイダンスを示します。This article provides you with troubleshooting guidance on how to resolve potential issues.

知っておくべきことWhat you should know:

  • ダウンレベルの Windows デバイス用のハイブリッド Azure AD 参加の動作は、Windows 10 での動作とは若干異なります。Hybrid Azure AD join for downlevel Windows devices works slightly differently than it does in Windows 10. 多くのお客様は、AD FS (フェデレーション ドメインの場合) または構成済みのシームレス SSO (マネージド ドメインの場合) が必要であることを認識していません。Many customers do not realize that they need AD FS (for federated domains) or Seamless SSO configured (for managed domains).

  • フェデレーション ドメインのあるお客様では、サービス接続ポイント (SCP) がマネージド ドメインをポイントするように構成されている場合 (たとえば、contoso.com ではなく contoso.onmicrosoft.com)、ダウンレベルの Windows デバイス用のハイブリッド Azure AD 参加は機能しません。For customers with federated domains, if the Service Connection Point (SCP) was configured such that it points to the managed domain name (for example, contoso.onmicrosoft.com, instead of contoso.com), then Hybrid Azure AD Join for downlevel Windows devices will not work.

  • ユーザーごとのデバイスの最大数は、現時点ではダウンレベルのハイブリッド Azure AD 参加済みデバイスにも適用されます。The maximum number of devices per user currently also applies to downlevel hybrid Azure AD joined devices.

  • 複数のドメイン ユーザーがダウンレベルのハイブリッド Azure AD 参加済みデバイスにサインインすると、同じ物理デバイスが Azure AD に複数回表示されます。The same physical device appears multiple times in Azure AD when multiple domain users sign-in the downlevel hybrid Azure AD joined devices. たとえば 1 台のデバイスに jdoejharnett がサインインする場合、それぞれについて別個の登録 (DeviceID) が [ユーザー] 情報タブに作成されます。For example, if jdoe and jharnett sign-in to a device, a separate registration (DeviceID) is created for each of them in the USER info tab.

  • オペレーティング システムの再インストールまたは手動の再登録なので、ユーザー情報タブでデバイスの複数のエントリを取得することもできます。You can also get multiple entries for a device on the user info tab because of a reinstallation of the operating system or a manual re-registration.

  • デバイスの初回登録/参加は、サインインまたはロック/ロック解除のいずれかのタイミングで試行するように構成されています。The initial registration / join of devices is configured to perform an attempt at either sign-in or lock / unlock. タスク スケジューラのタスクによってトリガーされる 5 分間の待ち時間が生じる場合があります。There could be 5-minute delay triggered by a task scheduler task.

  • Windows 7 SP1 または Windows Server 2008 R2 SP1 の場合、KB4284842 がインストールされていることを確認してください。Make sure KB4284842 is installed, in case of Windows 7 SP1 or Windows Server 2008 R2 SP1. この更新によって、今後、パスワードの変更後、保護されているキーにお客様がアクセスできなくなったことによる認証エラーを防止できます。This update prevents future authentication failures due to customer's access loss to protected keys after changing password.

手順 1:登録状態を取得するStep 1: Retrieve the registration status

登録状態を確認するには:To verify the registration status:

  1. ハイブリッド Azure AD 参加を実行したユーザー アカウントでサインオンします。Sign on with the user account that has performed a hybrid Azure AD join.

  2. コマンド プロンプトを開きますOpen the command prompt

  3. "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i」と入力します。Type "%programFiles%\Microsoft Workplace Join\autoworkplace.exe" /i

このコマンドにより、参加状態の詳細を示すダイアログ ボックスが表示されます。This command displays a dialog box that provides you with details about the join status.

[Workplace Join for Windows (Windows の社内参加)]

手順 2:ハイブリッド Azure AD 参加状態を評価するStep 2: Evaluate the hybrid Azure AD join status

デバイスがハイブリッド Azure AD 参加済みではなかった場合は、"参加" ボタンをクリックすることでハイブリッド Azure AD 参加を試みることができます。If the device was not hybrid Azure AD joined, you can attempt to do hybrid Azure AD join by clicking on the "Join" button. ハイブリッド Azure AD 参加の試みに失敗した場合は、エラーの詳細が表示されます。If the attempt to do hybrid Azure AD join fails, the details about the failure will be shown.

最も一般的な問題:The most common issues are:

  • AD FS または Azure AD が正しく構成されていない問題、またはネットワークの問題A misconfigured AD FS or Azure AD or Network issues

    [Workplace Join for Windows (Windows の社内参加)]

    • Autoworkplace.exe が Azure AD または AD FS で自動的に認証できない場合。Autoworkplace.exe is unable to silently authenticate with Azure AD or AD FS. これは、AD FS が見つからないか正しく構成されていない (フェデレーション ドメインの場合)、Azure AD シームレス シングル サインオンが見つからないか正しく構成されていない (マネージド ドメインの場合)、またはネットワークの問題によって発生する可能性があります。This could be caused by missing or misconfigured AD FS (for federated domains) or missing or misconfigured Azure AD Seamless Single Sign-On (for managed domains) or network issues.

      • 多要素認証 (MFA) がユーザーに対して有効化/構成され、WIAORMUTLIAUTHN が AD FS サーバーで構成されていない可能性があります。It could be that multi-factor authentication (MFA) is enabled/configured for the user and WIAORMUTLIAUTHN is not configured at the AD FS server.

      • また、ホーム領域検出 (HRD) ページがユーザーの操作を待っているため、autoworkplace.exe では、トークンのサイレント要求ができなくなっていることも考えられます。Another possibility is that home realm discovery (HRD) page is waiting for user interaction, which prevents autoworkplace.exe from silently requesting a token.

      • AD FS と Azure AD の URL がクライアントの IE のイントラネット ゾーンにない可能性があります。It could be that AD FS and Azure AD URLs are missing in IE's intranet zone on the client.

      • ネットワーク接続の問題により、autoworkplace.exe で AD FS または Azure AD の URL にアクセスできない場合があります。Network connectivity issues may be preventing autoworkplace.exe from reaching AD FS or the Azure AD URLs.

      • utoworkplace.exe は、クライアントに、クライアントから組織のオンプレミスの AD ドメイン コントローラーまでの直接の見通し線があることを必要とします。つまり、ハイブリッド Azure AD 参加は、クライアントが組織のイントラネットに接続されている場合にのみ成功します。Autoworkplace.exe requires the client to have direct line of sight from the client to the organization's on-premises AD domain controller, which means that hybrid Azure AD join succeeds only when the client is connected to organization's intranet.

      • 組織は Azure AD シームレス シングル サインオンを使用しており、デバイスの IE イントラネット設定には https://autologon.microsoftazuread-sso.com または https://aadg.windows.net.nsatc.net が存在せず、イントラネット ゾーンについて [スクリプトを介したステータス バーの更新を許可する] が有効にされていません。Your organization uses Azure AD Seamless Single Sign-On, https://autologon.microsoftazuread-sso.com or https://aadg.windows.net.nsatc.net are not present on the device's IE intranet settings, and Allow updates to status bar via script is not enabled for the Intranet zone.

  • ドメイン ユーザーとしてサインオンしていないYou are not signed on as a domain user

    [Workplace Join for Windows (Windows の社内参加)]

    これが発生する理由はいくつかあります。There are a few different reasons why this can occur:

    • サインインしているユーザーがドメイン ユーザーでない場合 (ローカル ユーザーなど)。The signed in user is not a domain user (for example, a local user). ダウンレベルのデバイスでのハイブリッド Azure AD 参加は、ドメイン ユーザーに対してのみサポートされています。Hybrid Azure AD join on down-level devices is supported only for domain users.

    • クライアントはドメイン コントローラーに接続できません。The client is not able to connect to a domain controller.

  • クォータに達しているA quota has been reached

    [Workplace Join for Windows (Windows の社内参加)]

  • サービスが応答していないThe service is not responding

    [Workplace Join for Windows (Windows の社内参加)]

状態情報は、Applications and Services Log\Microsoft-Workplace Join の下にあるイベント ログでも確認できます。You can also find the status information in the event log under: Applications and Services Log\Microsoft-Workplace Join

ハイブリッド Azure AD 参加に失敗する最も一般的な原因:The most common causes for a failed hybrid Azure AD join are:

  • コンピューターが、組織の内部ネットワーク、またはオンプレミスの AD ドメイン コントローラーに接続している VPN と接続していない。Your computer is not connected to your organization’s internal network or to a VPN with a connection to your on-premises AD domain controller.

  • ローカル コンピューター アカウントでコンピューターにログオンしている。You are logged on to your computer with a local computer account.

  • 次のようなサービス構成の問題がある。Service configuration issues:

    • AD FS サーバーが WIAORMULTIAUTHN をサポートするように構成されていない。The AD FS server has not been configured to support WIAORMULTIAUTHN.

    • コンピューターのフォレストに、Azure AD の検証済みドメイン名を指すサービス接続ポイント オブジェクトがない。Your computer's forest has no Service Connection Point object that points to your verified domain name in Azure AD

    • または、ドメインが管理されている場合は、シームレス SSO が構成されていないか機能していない。Or if your domain is managed, then Seamless SSO was not configured or working.

    • ユーザーがデバイスの上限に達している。A user has reached the limit of devices.

次の手順Next steps

ご不明な点がある場合は、デバイス管理の FAQ をご覧ください。For questions, see the device management FAQ